©
CIGREF - IFACI - AFAI - Mars 2013
26
Les prestataires concernés doivent généralement réaliser des travaux en vue
d’éliminer les défauts de leurs procédures de contrôle interne et de rendre ces
dernières exhaustives et homogènes. Au final, le rapport ISAE3402 renforce la
crédibilité des prestataires vis-à-vis de leurs clients.
Le recours à cette norme doit s’inscrire dans un processus comprenant plusieurs
étapes. Le prestataire concerné doit d’abord formaliser précisément son dispositif
de contrôle interne, ses objectifs de contrôle et les contrôles liés, puis établir un
document décrivant l’ensemble de ce dispositif. C’est sur la base de ce document
que le vérificateur, en règle générale un cabinet d’audit, exprimera une opinion.
En pratique, il existe deux types de rapports :
•
un rapport de type I, dans lequel le vérificateur émet une opinion sur la
fidélité de la description et sur l’adéquation des contrôles par rapport aux
objectifs fixés. Ce type de contrôle s’effectue une fois par an. Les entreprises
utilisent généralement ce premier rapport pour déterminer une tendance avant
d’aller vers le rapport de type II. Cette certification a comme inconvénient de ne
décrire l’organisation qu’à un temps T et non sur une période,
•
un rapport de type II, plus complet du fait d’une étude portée sur une période
(
de 6 mois minimum en général), dans lequel le vérificateur émet en plus une
opinion sur l’efficacité des contrôles pour atteindre ces objectifs. L’attestation
ISAE3402 de type II est donc l’attestation la plus complète. Elle intègre non
seulement un audit au moment de l’attestation, mais ensuite des contrôles
réguliers pour s’assurer que les procédures mises en place restent bien
appliquées. Elle constitue une opportunité supplémentaire pour l’entreprise
d’améliorer sans relâche son organisation. Pour chaque service audité, une
grille de contrôle a été mise en place avec une liste des objectifs de contrôle, des
activités contrôlées, des plans de test, des observations et recommandations.
•
SOC 2 et SOC 3
L’American Institute of Certified Public Accountants
(
AICPA) a aussi défini les
rapports des
Service Organization Controls
(
contrôles des fournisseurs de services)
-
SOC2 et SOC3.
•
SOC 2 est un rapport sur les contrôles d’un organisme de services touchant
à la sécurité, la disponibilité, la confidentialité de traitement d’intégrité, de
confidentialité, et/ou utilisant des critères prédéfinis et couvrant un ou plusieurs
des cinq attributs clés du système de sécurité, de disponibilité, d’intégrité
du traitement, de confidentialité et de vie privée. La diffusion du rapport
SOC 2 se limite aux clients de l’entreprise de services et à des destinataires bien
spécifiques qui ont une connaissance approfondie de l’organisation du service
et de ses contrôles internes.
